ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

P2P-Worm.Win32.Gotorm

Clase P2P-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus de gusano. Se propaga a través de la red de igual a igual Kazaa. Además, realiza algunas funciones de espionaje, recopilando datos sobre ciertos juegos instalados en la PC afectada. Este gusano es una aplicación de Windows (archivo PE EXE). Está escrito en Visual C y su tamaño es 196 608 bytes.

Instalación

Durante la instalación, el gusano produce el siguiente mensaje de error falso relacionado con la extracción del archivo:

WinZip Self-Extractor, encabezado de WinZip Self-Extractor corrupto. Causa posible: error de transferencia de archivos o archivos defectuosos.

Posteriormente, se escribe en el directorio de Windows con el siguiente nombre:

mrowyekdc.exe

Esta instalación del gusano se registra luego en la clave de ejecución automática dentro del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe 

Extensión

El gusano crea una carpeta llamada "Archivos de usuario" en el directorio de Windows y se escribe en ella con los siguientes nombres:

Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Diablo 2 hero editor.exe de Jamella
Mapa de Warcraft 3 hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throne map hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
El mapa del Trono Helado hack.exe
Counterstrike hacks.exe
Counterstrike aim hack.exe

Esta carpeta se anota en el registro del sistema de Windows como Contenido local para la red de intercambio de archivos Kazaa:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% archivos de usuario
  DisableSharing = "0 

Como resultado, los archivos contenidos en esta carpeta estarán disponibles para su descarga a otros usuarios de redes P2P.

Función espía

El gusano comprueba el registro del sistema en busca de claves relacionadas con juegos populares de computadora (Counter Strike, Diablo, Warcraft, Starcraft) y envía los datos recolectados al "propietario" del gusano utilizando una conexión de servidor SMTP.

Diverso

El gusano verifica la fecha y la hora del sistema. Si el mes de la activación del gusano es anterior a agosto, deja de realizar sus funciones y elimina todas sus entradas en el registro del sistema.


Enlace al original